Лабораторная работа №3

Анализ трафика в Wireshark

Демидова Екатерина Алексеевна

Российский университет дружбы народов

23 сентября 2023

Вводная часть

Цель работы

Изучение посредством Wireshark кадров Ethernet, анализ PDU протоколов транспортного и прикладного уровней стека TCP/IP.

Задание

  1. MAC-адресация
    1. Изучение возможностей команды ipconfig для ОС типа Windows (ifconfig для систем типа Linux).
    2. Определение MAC-адреса устройства и его типа.
  2. Анализ кадров канального уровня в Wireshark
    1. Установить на домашнем устройстве Wireshark.
    2. С помощью Wireshark захватить и проанализировать пакеты ARP и ICMP в части кадров канального уровня
  3. Анализ протоколов транспортного уровня в Wireshark. С помощью Wireshark захватить и проанализировать пакеты HTTP, DNS в части заголовков и информации протоколов TCP, UDP, QUIC.
  4. Анализ handshake протокола TCP в Wireshark.С помощью Wireshark проанализировать handshake протокола TCP.

Выполнение лабораторной работы

MAC-адресация

MAC-адресация

С помощью команды ifconfig выведем информацию о текущем сетевом соединении.

Вывод команды ifconfig

MAC-адресация

Так же добавив название сетевого интерфейса можно вывести информацию только о нём.

Вывод информации о конкретном сетевом интерфейсе`

MAC-адресация

Теперь выключим сетевой интерфейс добавив команду down(с помощью командыup его можно включить).

Выключение сетевого интерфейса и демонстрация опции -a

MAC-адресация

Также можно использовать опцию -s, с помощью которой выводится краткий список интерфейсов.

Использование опции -s

MAC-адресация

Демонстрация MAC-адреса

MAC-адресация

Первые три байта e8:f4:08 в этом адресе соответствуют индентификатору производителя. Последние три байта c4:e3:ca индентифицируют сетевой интерфейс.

Демонстрация производителя сетевого оборудования

MAC-адресация

Возьмем первый байт e8 и переведём его в двоичную систему. Получим 11101000. Так как последний бит ноль, то адрес является индивидуальным. А так как предпоследний бит ноль, то адрес глобально администрируемый.

Анализ кадров канального уровня в Wireshark

Запустим wireshark и начнем захват трафика.

Захват трафика в wireshark

Анализ кадров канального уровня в Wireshark

Определение IP-адреса устройства и шлюза по умолчанию

Анализ кадров канального уровня в Wireshark

С помощью команды ping 192.168.1.1 пропингуем шлюз по умолчанию.

Пингование шлюза по умолчанию

Анализ кадров канального уровня в Wireshark

Кадр ICMP - эхо-запрос

Анализ кадров канального уровня в Wireshark

Кадр ICMP - эхо-ответ

Анализ кадров канального уровня в Wireshark

Кадр ARP

Анализ кадров канального уровня в Wireshark

Теперь начнём новый процесс захвата трафика и пропингуем сайт wikipedia.org.

Пингование сайта wikipedia.org

Анализ кадров канального уровня в Wireshark

Пингование сайта wikipedia.org. Кадр ICMP - эхо-запрос

Анализ кадров канального уровня в Wireshark

Пингование сайта wikipedia.org. Кадр ICMP - эхо-ответ

Анализ кадров канального уровня в Wireshark

Пингование сайта wikipedia.org. Кадр ARP - запрос

Анализ кадров канального уровня в Wireshark

Пингование сайта wikipedia.org. Кадр ARP - ответ

Анализ протоколов транспортного уровня в Wireshark

Анализ протоколов транспортного уровня в Wireshark

Порт источника задан случайно, выбором из непривелигированных и незанятых портов, и равен 555882, порт назначения равен 80 - это стандартный порт HTTP.

Запрос HTTP по протоколу TCP

Анализ протоколов транспортного уровня в Wireshark

В случае ответа порты заданы наоборот, то есть источник - 80 порт, назначение - 55582.

Ответ HTTP по протоколу TCP

Анализ протоколов транспортного уровня в Wireshark

В разделе HTP можно увидеть ссылку на html-страницу.

Раздел HTP

Анализ протоколов транспортного уровня в Wireshark

Раздел Line-based text data

Анализ протоколов транспортного уровня в Wireshark

Запрос dns по протоколу UDP

Анализ протоколов транспортного уровня в Wireshark

В случае ответа порты заданы наоборот, то есть источник - 53 порт, назначение - 59084.

Ответ DNS по протоколу UDP

Анализ протоколов транспортного уровня в Wireshark

Запрос QUIC по протоколу UDP

Анализ протоколов транспортного уровня в Wireshark

В случае ответа порты заданы наоборот, то есть источник - 443 порт, назначение - 47597.

Ответ QUIC по протоколу UDP

Анализ протоколов транспортного уровня в Wireshark

Вкладка QUIK IETF в случае запроса quik

Анализ протоколов транспортного уровня в Wireshark

Вкладка QUIK IETF в случае ответа quik

Анализ handshake протокола TCP в Wireshark

Анализ handshake протокола TCP в Wireshark

Режим активного доступа. Во вкладке с флагами видно, что установлен бит SYN(Syn: set). Порядковый номер равен 3980370530.

Первая ступень handshake протокола TCP

Анализ handshake протокола TCP в Wireshark

Режим пассивного доступа. Во вкладке с флагами видно, что установлены биты SYN и ACK(Syn: set, Acknowldgment: set). Порядковый номер содержит значение ISSb и равен 452625189. Поле номер подтверждения равен значению ISSa, которое получил в предыдущем пакете, плюс 1, то есть 3980370531.

Вторая ступень handshake протокола TCP

Анализ handshake протокола TCP в Wireshark

Завершение рукопожатия. Во вкладке с флагами видно, что установлен бит ACK(Acknowldgment: set). Порядковый номер равен ISSa+1 и равен 3980370531. Поле номер подтверждения равен значению ISSb, которое получил в предыдущем пакете, плюс 1, то есть 452625190.

Третья ступень handshake протокола TCP

Анализ handshake протокола TCP в Wireshark

На графике видно, что сначала клиент послал сообщение на сервер(стрелка вправо), а значение seq = 0. Затем сервер откликнулся(стрелка влево), значение seq = 0, а значение ack = 1. И в третьем пакете клиент оправил подтверждение получение SYN-сегмента(стрелка влево), оба значения syn и ack стали равны 1.

График потока

Заключение

Выводы

В результате выполнения лабораторной работы посредством Wireshark были изучены кадры Ethernet, а также проанализированы PDU протоколы транспортного и прикладного уровней стека TCP/IP.